设置Cisco ASA VPN以同时使用radius和本地用户

我有一个使用L2TP / IPSec VPN的Cisco ASA设置,除了一个小问题之外,所有的都运行良好。 理想情况下,我希望能够使用ASA上的RADIUS服务器用户或本地用户数据库login到VPN。 现在,一切都使用RADIUS用户,我打开了select使用本地数据库作为回退。

这是我的希望,当它表示回退,如果RADIUS服务器无法validation用户名,它会检查本地数据库。 不幸的是,事实并非如此。 我在ASA上作为紧急用户的用户没有被使用,至less在RADIUS服务器不可访问的情况下。 我可以通过暂时禁用RADIUS服务器来运行testing,以确定ASA是否确实会后退,并在radius服务器无法访问时使用本地数据库,这是我相信会发生的事情。 我真的更喜欢VPN只是能够对RADIUS或本地用户数据库进行身份validation。 有没有办法设置思科ASA的VPN同时使用本地用户数据库和RADIUS服务器?

在Cisco ASA远程访问VPN中,您无法为单个连接configuration文件添加多个AAA服务器组。

由于每个AAA服务器组仅限于一个协议,所以在一个连接configuration文件中不能同时具有RADIUS和LOCAL作为有效的authentication服务器。

要做到这一点的唯一方法是使LOCAL成为备用AAA服务器组,但正如您所知,只有当ASA无法与主AAA服务器组通信时,备用才会变为活动状态。

为了做你想做的,我build议创build一个具有RADIUS AAA服务器组的连接configuration文件和具有本地AAA服务器组的第二个连接configuration文件。

您可以对两个连接configuration文件使用相同的组策略,地址分配和encryption映射。 区别在于连接configuration文件名称,您需要从AnyConnectlogin屏幕中select正确的configuration文件名称,或使用适当的Cisco VPN客户端PCF文件。

更新:如果您尝试对VPN进行AAA身份validation,但是如果AAA服务器不可用,则不允许将LOCAL身份validation用于VPN,则不要在VPN连接configuration文件中启用回退。 http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_aaa.html#wp1062034